SPRECHEN SIE MIT UNS

Log4j – Risiken minimieren

Die Sicherheitslücke CVE-2021-44228 zeigt, dass ein mutmaßlich kleiner Fehler eine große Auswirkung haben kann. Die Umsetzung der ISO 27001 Norm kann präventiv unterstützen.
Insbesondere, da es einige Zeit kostet aufzuspüren in welchen Systemen das Java-Logging log4j verwendet wird. Eine aktuelle Applikationsliste inkl. der Verantwortlichen hilft dabei.
Bevor es zu der Schließung der Sicherheitslücke kommt, empfiehlt z.B. heise.de folgende Maßnahmen:

  • Zugangsbeschränkungen
  • Segmentierung von Netzwerken
  • Reduzierung der Rechte
  • Beschränkung von ausgehenden Verbindungen
  • Beschränkung der ausführbaren Programme

Zu erkennen ist, dass die empfohlenen Maßnahmen sich mit den Anforderungen aus der Informationssicherheits-Norm ISO 27001 decken.

Präventiv handeln

Ein ganzheitliches, robustes Informations-Sicherheits-Management-System hilft vielen Unternehmen in solchen Situationen zu reagieren. Insbesondere die Anforderungen, dass eine Applikationsliste existieren muss, unterstützt die IT dabei, dass diese einen guten Überblick hat, welche Systeme betroffen sein könnten.
Falls nun doch Schadsoftware in die Netzwerkinfrastruktur gelangt ist, ist die Anforderung aus der ISO 27001 Norm, dass ein Monitoring System aufgebaut ist, gefragt.

Weitere Anforderungen aus der ISO 27001 decken sich mit der Empfehlung, die Heise vorgibt. Falls alle Stricke reißen, ihre Systeme kompromittiert sind und Dateien verschlüsselt sind, greift die Anforderung aus der ISO 27001 Norm, dass das Backup-Management und das Business Continuity Management aufgebaut sein muss.

Die Norm fordert, dass sie für Ihre Systeme Wiederherstellungs- und Wiederanlaufpläne bereitgestellt und diese erprobt haben. Das entsprechende Backupmanagement vorausgesetzt.  

Stellen Sie sich selbst die Fragen in Bezug auf Ihre IT-Sicherheit

  • Welche Systeme sind bei uns im Unternehmen die kritischsten, wenn ja warum?
  • Gibt es zu diesen Systemen Wiederanlauf- und Wiederherstellungspläne?
  • Wurden diese Pläne erprobt, wenn ja, wann zuletzt?
  • Gibt es einen Erprobungsplan?
  • Gibt es ein Backup-Management?
  • Wenn ja, wie wird sichergestellt, dass die Backups nicht mit Schadsoftware versehen ist?

Mit der Erfüllung der aufgeführten Anforderungen aus der ISO 27001 und der ISO 22301 ist ihr Unternehmen auf solche Attacken vorbereitet.

Ob Sie sich zertifizieren lassen wollen und ein positives Zeichen an Ihre Kunden setzen wollen oder generell ein ISMS aufbauen möchten, wir unterstützen Sie.